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Beschreibung 



Verfahren, Anordnung sowie ein Satz mehrerer Anordnungen zum 
Schutz mehrerer Prograimie und/oder mehrerer Dateien vor einem 
unbefugten Zugriff durch einen Prozefi 

Die Erfindung betrifft ein Verfahren/ eine Anordnung sowie 
ein satz mehrerer Anordnungen zum Schutz mehrerer Programme 
vor einem unbefugten Zugriff durch einen ProzeB. 

Ein verfahren und eine Anordnung zum Schutz mehrerer Program- 



me vor'einem unbefugten Zugriff durch einen Anwender ist aus | ^ 



[1] Oder [6] bekannt. Der Zugriff sschutz fur ein Prograim ist ..3 
bei dem Verfahren aus [1] dadurch realisiert, dal3 jedem Be- 
nutzer eines Systems eine Zugriff sberechtigungsdatei zugeord- 
net wird. Versucht ein ProzeB, auf ein Programm zuzugreifen, 
so wird aberpruft, ob der Benutzer, der den Prozeli gestartet 
hat, das Recht hat, auf das entsprechende Programm zuzugrei- ^ 
fen. Der Zugriff wird nur gestattet, wenn der Prozeft von ei- O 
nem befugten und somit mit den Zugriff srechten ausgestatteten 
Benutzer gestartet wurde. 



Aus [2] ist ein sogenannter Virenscanner bekannt- Ein viren- 
scanner uberprUft die gespeicherte, bekannte Folge von Daten, 
25 durch die das Prograim realisiert ist. Wird eine Abweichung 
gegenuber der bekannten Folge f estgestellt, so wird ein Be- 
nutzer des Systems benachrichtigt, dali moglicherweise das Sy- 
stem mit einem virus behaftet ist. 



AUS [1] ist ferner ein Betriebssystem fur einen Rechner be- 
kannt. Das aus [1] bekannte Betriebssystem weist verschiedene 
Sicherheitslucken auf, durch die es einem Angreifer moglich 
ist, die Integritat von Programmen, die unter Verwendung des 
Betriebssystems durchgefuhrt werden, zu gefahrden. 
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Ein moglicher Mechanismus, um den Schutz der Programme bei 
verwendung dieses Betriebssystems zu gefahrden ist ebenfalls 
in [5] beschrieben. 

5 In [7] ist ein Computersystem zur Lizensierung von Software 
beschrieben. 

Somit liegt der Erfindung das Problem zugrunde, mehrere Pro- 
gramme und/oder mehrere Dateien vor einem unbefugten Zugrxff 
10 durch einen ProzeJJ zu schutzen unter Verwendung eines Be- 
triebssystems, welches grundsatzlich SicherheitslUcken auf- 

weist . 

Das Problem wird durch das Verfahren sowie durch die Anord- 
15 nung gemaJi den Merkmalen der unabhangigen Patentanspriiche ge- 
lost. 

Bei einem Verfahren zum Schutz mehrerer Programme und/oder 
mehrerer Dateien vor einem unbefugten Zugriff durch einen 

20 Prozefi, ist jedem zu schiitzenden Programm und/oder jeder zu 
schutzenden Datei jeweils ein Adrelbraum zugeordnet . Jedem zu 
schiitzenden Programm und/oder jeder zu schUtzenden Datei ist 
ferner jeweils eine Prozeii-Datei zugeordnet, wobei in einer 
Prozefi-Datei gespeichert ist, welcher Prozeli oder welche Pro- 

25 zesse in dem jeweiligen Adreiiraum ablaufen darf oder durfen. 
wahrend des Ablaufs eines zu schutzenden Programms und/oder 
einer zu schutzenden Datei flir einen Prozeli, der auf den 
Adreiiraum des zu schutzenden Programms und/oder der zu schiit- 
zenden Datei zugreifen will wird aberpruft, ob der zugreifen- 

30 de Prozefi in der entsprechenden ProzeB-Datei angegeben ist. 
Fiir den Fall, dafi der zugreifende ProzeB in der Prozeft-Datei 
angegeben ist, wird der zugreifende Prozefi gestartet; sonst 
wird der zugreifende ProzeJi nicht gestartet. 

35 Bei einem weiterren Verfahren zum Schutz mehrerer Programme 

und/oder mehrerer Dateien vor einem unbefugten Zugriff durch 
einen Prozefi, ist jedem zu schutzenden Programm und/oder je- 
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der zu schutzenden Datei jeweils ein Adrefiraui. zugeordnet. 
Jedem zu schutzenden Programm und/oder jeder zu schiat zenden 
Datei ist ferner jeweils eine Prozefl-Datei zugeordnet, wobei 
in einer Prozeft-Datei gespeichert ist, welcher Prozeli oder 
5 welche Prozesse in dem jeweiligen AdreBrauiu ablaufen darf 
Oder durfen. W&hrend des Ablaufs eines zu schutzenden Pro 
gramms und/oder einer zu schutzenden Datei fur einen Prozefi, 
der auf den Adrefiraum des zu schutzenden Prograims und/oder 
einer zu schutzenden Datei zugreifen will wird iiberpriift, ob 
10 der zugreifende Prozeli in der entsprechenden Prozeli-Datei an- 
gegeben ist. Fur den Fall, daJi der zugreifende Prozefi in der 
ProzeJi-Datei angegeben ist, wird der zugreifende Prozefi wei- 
tergefUhrt; sonst wird der zugreifende Prozeli beendet. 

15 Eine Anordnung zuiu Schutz mehrerer Programme vor einem unbe- 
fugten Zugriff durch einen Prozeli, weist einen Prozessor auf, 
der derart eingerichtet ist, dafi folgende Schritte durchfUhr- 
bar sind: 

- jedem zu schutzenden Prograim und/oder jeder zu schutzenden 
20 Datei ist jeweils ein Adrefiraum zugeordnet, 

- jedera zu schutzenden Programm und/oder jeder zu schutzenden 
Datei ist jeweils eine Prozefi-Datei zugeordnet, 

- in einer Prozefi-Datei ist gespeichert, welcher Prozefi oder 
welche Prozesse in dem jeweiligen Adrefiraum ablaufen darf 

25 Oder durfen, 

- wahrend des Ablaufs eines zu schutzenden Prograims und/oder 
einer zu schutzenden Datei wird fur einen Prozefi, der auf den 
Adrefiraum des zu schutzenden Programms und/oder der zu schut- 
zenden Datei zugreifen will, uberpruft, ob der zugreifende 

30 Prozefi in der entsprechenden Prozefi-Datei angegeben ist, 

- fUr den Fall, dafi der zugreifende Prozefi in der Prozefi- 
Datei angegeben ist, wird der zugreifende Prozefi gestartet, 
und 

- sonst wird der zugreifende Prozefi nicht gestartet. 



Eine weitere Anordnung zum Schutz mehrerer Programme vor ei- 
nem unbefugten Zugriff durch einen Prozefi, weist einen Pro- 
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zessor auf, der derart eingerichtet ist, dali folgende Schrit- 
te durchftlhrbar sind: 

- jedem zu schUtzenden Programm und/oder jeder, zu schatzenden 
Datei ist jeweils ein Adrefirauiti zugeordnet, 

5 - jedem zu schiitzenden Progrartm und/oder jeder zu schiitzenden 
Datei ist jeweils sine Prozefi-Datei zugeordnet, 

- in einer Prozefi-Datei ist gespeichert, welcher ProzelS Oder 
welche Prozesse in dem jeweiligen AdreJSraum ablaufen darf 
Oder dUrfen, 

10 - wahrend des AJblaufs eines zu schatzenden Programms und/oder 
einer zu schutzenden Datei wird far einen ProzeJi, der auf den 
^ Adrefiraum des zu schutzenden Prograinitis und/oder der zu schat- 

zenden Datei zugreifen will uberpruft, ob der zugreifende 
Prozefi in der entsprechenden ProzeB-Datei angegeben ist, 

15 - fur den Fall, daii der zugreifende Prozefi in der Prozefl- 
Datei angegeben ist, wird der zugreifende ProzeB weiterge- 
fuhrt, und 

- sonst wird der zugreifende ProzeB beendet. 

20 Ein satz mehrerer Anordnungen und eine mit jeder Anordnung 
des Satzes mehrerer Anordnungen verbundene Server-Anordnung 
zum Schutz mehrerer Programme vor einem unbefugten Zugriff 
durch einen ProzeJi ist derart eingerichtet, dal5 
jede Anordnung einen Prozessor aufweist, der derart einge- 

25 richtet ist, dafl folgende Schritte durchfuhrbar sind: 

- jedem zu schutzenden Programm und/oder jeder zu schutzenden 
Datei ist jeweils ein Adreiiraum zugeordnet, 

- jedem zu schutzenden Programm und/oder jeder zu schutzenden 
Datei ist jeweils eine ProzeB-Datei zugeordnet, 

30 - in einer Prozefl-Datei ist gespeichert, welcher Prozefi oder 
welche Prozesse in dem jeweiligen AdreJiraum ablaufen darf 
Oder durfen, 

- wahrend des Ablaufs eines zu schutzenden Programms und/oder 
einer zu schatzenden Datei wird far einen Prozefi, der auf den 

35 AdreJiraum des zu schutzenden Programms und/oder der zu schut- 
zenden Datei zugreifen will uberpruft, ob der zugreifende 
Prozeli in der entsprechenden ProzeJb-Datei angegeben ist. 
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- fur den Fall, dafi der zugreifende ProzeB in der Prozeli- 
Datei angegeben ist, wird der zugreifende ProzeB gestartet 
Oder weitergefUhrt, und 

- sonst wird ein Alarmsignal generiert und an die Server- 
Anordnung gesendet, 

und die Server-Anordnung einen Prozessor aufweist, der derart 
eingerichtet ist, daS abhSngig von mindestens einem empfange- 
nen Alarmsignal eine vorgegebene Aktion ausgelost wird. 

Unter AdreBraum ist in diesem Zusammenhang ein Programn- 
Bereich zu verstehen, der jeweils einem Programm zugeordnet 
ist . 

Durch die Erfindung werden mehrere Sicherheitslticken des in 
15 [1] beschriebenen Betriebssystems geschlossen. 

Weiterhin wird das jeweils zu schtitzende Prograim gegen einen 
prozeduralen Angriff (Angriff auf einen Prozefi) , z.B. gegen 
ein Trojanisches Pferd, geschiitzt. 

Ferner ist ein erheblicher Vorteil der Erfindung darin zu se- 
hen, dal5 bei skalierbarem Aufwand ein definiertes MaiS an Si- 
cherheit ftir das zu schiitzende Programm gewahrleistet werden 
kann . 

Durch den Satz mehrerer Anordnungen, die jeweils rait der Ser- 
ver-Anordnung verbunden sind, ist ein Schutz lokal bei den 
Anordnungen mdglich derart, dali bei einem erkannten Angriff 
ein Alarmsignal generiert und an die Server-Anordnung gesen- 
det wird, in der zentral eine vorgegebene Aktion ausgefiihrt 
wird. Auf diese Weise ist die Entdeckung lokaler Prozesse 
mdglich, die der Server-Anordnung selbst nicht bekannt sind. 

Bevcrzugte Weiterbildungen der Erfindung ergeben sich aus den 
35 abhangigen Ansprtichen. 
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ES ist in einer Weiterbildung zur Erhohung des erreichbaren 
Sicherheitsniveaus vorteilhaft, zumindest einem Teil der in 
einer Prozefi-Datei angegebenen Prozesse einen eindeutig kenn- 
zeichnenden kryptographischen Wert zu bilden, wobei der je- 
5 weilige Wert in der ProzeJi-Datei enthalten ist. Fiir den zu- 
greifenden ProzeJi wird dessen kryptographischer Wert gebildet 
und bei der Uberprvifung werden die kryptographischen Werte 
der Prozesse miteinander verglichen. 

10 Der kryptographische Wert kann eine digitale Signatur sein. 
Er kann aber auch unter Verwendung einer Hash-Funktion, all- 
gertiein einer Einwegf unktion, gebildet werden. 

In einer weiteren Ausgestaltung ist es vorteilhaft, in einem 
15 Aufrufmechanismus fUr eine Funktion eines Betriebssystem- 

kerns, mit dem die Programme ausgeftihrt werden, einen Aufruf 
des zugreifenden Prozesses zu einer Oberprtlfungsf unktion wei- 
terzuleiten, in der die Uberpriifung erfolgt. Auf diese Weise 
ist eine effiziente und somit kostengunstige Realisierung der 
20 Erfindung moglich. 

Die Uberprufungsfunktion kann als dynamisch bindbare Datei in 
den uberwachten Adreflraum eingebunden werden, wodurch eine 
weitere Verbesserung in der Schutzwirkung erreicht wird- 
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Ein Aufruf eines zugreifenden Prozesses kann auch zu einer 
yberpriifungsfunktion, die in dem Betriebssystemkern inte- 
griert ist, weitergeleitet werden, wobei die UberprUfung in 
der Uberprufungsf unktion erfolgt. Auf diese Weise kann die 
erreichbare Sicherheit des Schutzes fur die Programme noch 
weiter erh5ht werden. 

Eine weitere ErhShung des erreichbaren Sicherheitsniveaus 
kann gewahrleistet werden, wenn ein Schutzprogramm, welches 
derart eingerichtet ist, dafi die Erfindung ausfuhrbar ist, 
verschltisselt gespeichert ist und zu Beginn des Verfahrens 
entschlUsselt wird. Nach der Entschlusselung des Schutzpro- 
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gramms kann dessen Integritat uberprUft werden und das Ver- 
fahren wird nur dann ausgefuhrt, wenn die Integritat des 
Schutzprograinmes gewahrlsistet ist. Nach der Integritatspru- 
fung des Schutzprograims kann die Integritat aller in den 
ProzeJi-Dateien enthaltenen Prozesse uberprtift werden und das 
Verfahren wird nur ausgefUhrt, wenn die Integritat des 
Schutzprogramms gewahrlsistet ist. Nach der Integritatspru- 
fung der Prozesss, kann die Integritat des zu schutzenden 
Programms tiberpruft werden und das Programm sollte nur ausge- 
fUhrt werden, wenn die Integritat des Schut zprogramms gewahr- 
leistet ist. 

Die Erfindung ist vorteilhaft einsetzbar in dem in [1] be- 
schriebenen Betriebssystem. 

Obwohl das im weiteren srlauterte Ausf uhrungsbeispiel den 
Schutz von Programmen beschreibt, so ist ebenfalls ein Schutz 
mehrerer Dateien ohne weiteres gemSft der gleichen Vorgehens- 
weise moglich. 

Ein Ausfahrungsbeispiel der Erfindung ist in den Figuren dar- 
gesellt und wird im weiteren naher erlautert. 

Es zeigen 

Figur 1 sine Skizze, in der das der Erfindung zugrundeliegen- 
de Prinzip symbolisch dargestellt ist, 

Figur 2 eine Skizze, in der ein Prozeflschichtenmodell darge- 
30 stellt ist; 

Figur 3 ein Blockdiagramn, in dem ein Rechnernetz dargestellt 
ist ; 



20 



25 



35 



Figur 4 ein Ablauf diagramm, in dem die einzelnsn Verfahrens- 
schritte des Ausfuhrungsbeispiels dargestellt sind; 
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Figur 5 eine Skizze. in der das Prin.ip einer mcglichen Inte- 
gration der Erfindung in einem Betriebssystem darge- 
stellt ist; 

5 ■ Figur e'eine Skizze, in der die mogliche Realisierung gemaii 
Figur 5 detailliert dargestellt ist; 

Figur 1 eine Skizze, in der eine weitere mogliche Integration 
der Erfindung in ein Betriebssystem dargestellt ist. 

Fig. 3 zeigt einen ersten Rechner 301 mit einer Eingangs-/ 
Ausgangsschnittstelle 302, die uber einen Bus 303 mit einem 
Speicher 304 und einem Prozessor 305 verbunden ist. Uber die 
Eingangs-Musgangsschnittstelle 302 ist der erste Rechner 301 
15 uber ein Rechnernetz 306 mit einer Vielzahl von Rechnern 307, 
308, 309, 310, 311 verbunden. 

Das zur Ubertragung digitaler Daten verwendete Kommunikati- 
onsprotokoll ist das TCP/IP-Protokoll (Transmission Control 
20 Protocol/Internet Protocol) . 

Die Erfindung schutzt den ersten Rechner 301 vor unbefugten 
Zugriffen von Prozessen, die entweder in dem Speicher 304 des 
ersten Rechners 301 gespeichert sind Oder von den weiteren 
25 Rechnern 307, 308, 309, 310, 511, die auf den ersten Rechner 
301 zugreifen/einwirken. 

In dem ersten Rechner 301 ist das in [1] beschriebene Be- 
triebssystem implementiert . 

30 

Das im weiteren detailliert erlauterte Prinzip, welches dem 
Verfahren bzw. der Anordnung zugrunde liegt, ist anschaulich 
in Fig. 1 dargestellt. 

35 Symbolisch dargestellt© Programme 101, 102, 103 sollen durch 
die Erfindung gegen unbefugten Zugriff durch mindestens einen 
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Prozefi 104, 105, 106, der oder die auf ein Programm 101, 102, 
103 zugreifen wolien, geschUtzt warden. 

Die Programme 101, 102, 103 and Prozesse 104, 105, 106 ver- 
wenden als Betriebssystem, dargestellt als eine die Programme 
101, 102, 103 und Prozesse 104, 105, 106 uitvrahiuende Emheit 
107 das in [1] beschriebene Betriebssystem. 

Durch das Verfahren bzw. durch die Anordnung wird anschaulich 
um iedes zu schtitzende Programm 101, 102, 103 eine programm- 
spezifische „Schut zhulle" 103, 109, 110 gebildet. Durch die 
prograiumspezifische Sicherung wird ein frei skalierbares Si- 
cherheitsniveau fur das zu schutzende Programm 101, 102, 103 
erreicht . 

Das Verfahren bzw. die Anordnung kann, wie in einem Prozeli- 
schichtenmodell 201 in Fig. 2 dargestellt, auf verschiedenen 
iogischen Ebenen zu schUtzender Programme 101, 102, 103 rea- 
lisiert warden. Fig. 2 zeigt drei logische Ebenen in dem Pro- 
zeiischichtenmodell 201. 

Die Sicherung vor einem Angreifer 205 kann auf der Ebene zu 
schiitzender Anwendungsprogramme 202, auf der Ebene zu schat- 
zender Betriebssystemprogramme 203 sowie auf der Ebene des 
Betriebssystemkerns, und auf der System-Hardware 207 erfol- 
gen . 

je naher an der System-Hardware 207 die Sicherung eines Pro- 
gramms erfolgt, desto grofier ist das Sicherheitsniveau, das 
durch die Erfindung erreicht wird. 

Die Schutzhulle 205 wird zur Laufzeit des' zu schutzenden Pro- 
gramms 101, 102, 103 um das Programm „gelegf . 

Das Verfahren wird in Form zyklischer, nebenlauf iger Prozesse 
realisiert. Das Verfahren wird anhand des Ablauf diagramms, 
das in Fig .4 dargestellt ist, erlautert. 
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Als erstes nach dem Start des Betriebssystems (Schritt 401) 
wi^d ein Schutzprogramm gestartet (Schritt 402) . Das Schutz- 
programm ist derart eingerichtet, dafi das im weiteren be- 
schriebene Verfahren ausfuhrbar ist. Das Schutzprogramm ist 
in verschltlsselter Form gespeichert, wodurch eine Veranderung 
des Schutzprograrams selbst nicht moglich ist. 



Auch wird durch die Verschlusselung des Schutzprogramms eine 
10 detaillierte Analyse des das Verfahren ausfUhrenden Programius 
verhindert . 

Zum Start des Schut zprogramms (Schritt 402) wird das Schutz- 
programm durch eine vorgegebene Startroutine, die den zur 
15 Entschlusselung des Schutzprograiums erf orderlichen Schiassel 
und eventuell weitere Grundfunktionen des Betriebssystems 
enthalt, entschiasselt, wodurch der eigentliche Programincode 
des Schutzprograitiitis ermittelt wird. 

20 Auf diese Weise ist das Schutzprograiruu im aktiven Zustand vor 
off-line Angriffen wie disassemblieren, debuggen, patchen, 
. . . , geschiitzt . 

Nach der EntschlUsselung (Schritt 402) des Schutzprogramms 
25 wird die Integritat des Schutzprogramms dynamisch Uberprtift 
(Schritt 403) . 

1st die Integritat des Schutzprogramms . nicht gewahrleistet, 
so wird das Verfahren abgebrochen (Schritt 404). 



In einem weiteren Schritt wird die Integritat der Prozesse 
des Betriebssystems dynamisch uberprUft (Schritt 405) . Bei 
negativer Integritatsprufung wird das Verfahren wiederum ab- 
gebrochen (Schritt 404). 

Ist die Integritat der Prozesse des Betriebssystems 405 ge- 
wahrleistet, so wird das zu schutzende Programm gestartet. 
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Das oben beschriebene Verfahren wird far Dedes zu schutzende 
Prograinm 101, 102, 103, dynamisch durchgef uhrt . 

jedem zu schUtzenden Progaim 101, 102, 103 ist jeweils eine 
Prozefidatei 111, 112, 113 zugeordnet. 

in einer Prozefidatei 111, 112, 113 ist fur das zu schutzende 
PrograiTun 101, 102, 103, dem die ProzeB-Datei 111, 112, 113 
zugeordnet ist, angegeben, welche Prozesse in einem AdreB- 
raum, der ebenfalls jedem Programm 101, 102, 103 eindeut.g 
zugeordnet ist, ablaufen dUrfen. In den Prozefi-Dateien sxnd 
die Angaben luittels einer den jeweiligen Prozeii eindeutig 
kennzeichnenden Hash-Funktion gespeichert. 

Nach Start des jeweiligen Programms 101, 102, 103 (Schritt 
407) wird die Integritat des Prograimns 101, 102, 103 selbst 
uberpruft (Schritt 408) . 

Bei negativer Integritatspriif ung wird wiederuin das Verfahren 
■ abgebrochen (Schritt 404) . 

Bei positiver integritatsprUfung, d.h. wenn die Integritat 
des Programns 101, 102, 103 gewahrleistet ist, wird das Ver- 
fahren fur das zu schutzende Prograitun 101, 102, 103 solange 
wiederholt, bis das zu schutzende Programm selbst beendet 
wird (Schritt 409) . 

Das Verfahren wird abhangig von einem vorgebbaren Ereignis 
Oder in einem vorgebbaren Zeitabstand zwischen zwei AusfUh- 
rungen des Verfahrens iteriert (Schritt 410) . 

Sobald ein Prozefi 104, 105, 106 auf den Adrefiraum bzw. das 
Programm 101, 102, 103 selbst zugreifen will, wird in einem 
weiteren Schritt (Schritt 411) uberpruft, ob der ProzeB 104, 
105, 106 in der ProzeB-Datei des zu schutzenden Programms 
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101, 102, 103, auf das der Prozefi 104, 105, 106 zugreifen 
will, enthalten ist oder nicht. 

Dies erfolgt durch Bildung eines Hash-Wertes tiber den zugrei- 
5 fenden ProzeB 104, 105, 106 und Vergleich des Hash-Wertes des 
zugreifenden Prozesses 104, 105, 106 mit den Hash-Werten, die 
in der Prozefi-Datei gespeichert sind. 1st der zugreifende 
Prozeii in der ProzeJi-Datei des zu schUtzenden Programms 101, 

102, 103 angegeben, so wird der Prozefi 104, 105, 106 durchge- 
10 ftihrt (Schritt 412) . 

Sonst wird der Prozefi 104, 105, 106 nicht gestartet (Schritt 
413) und der Benutzer wird iaber einen moglichen Angriff auf 
sein Prograrom 101, 102, 103 informiert. 

15 

In vorgebbaren Zeitabstanden oder ereignisgesteuert wird fur 
jeden in dem Adrefiraum eines Prograims 101, 102, 103 aktiven 
Prozefi, d.h. ablaufenden Prozefi, iiberpriift, ob der jeweilige 
Prozefi in der Prozefi-Datei des entsprechenden Programms 101, 
20 102, 103, dessen Adrefiraum untersucht wird, enthalten ist. 

Ist dies nicht der Fall, so wird der entsprechende Prozefi be- 
endet und der Benutzer wird auf einen maglichen Angriff auf 
sein Programm 101, 102, 103 hingewiesen. 

25 Auf diese Weise ist eine regelmafiige Uberwachung des Pro- 
gramms gewShrleistet . 

Im weiteren werden M6glich)ceiten zur Integration des oben be- 
schriebenen Verfahrens in das in [3j beschriebene Betriebssy- 
30 stem dargestellt: 

1. MOglichkeit: 

Integration einer dynamisch bindbaren Datei 501 in die Anwen- 
35 dungs-Programmier-Schnittstelle (Application Programming In- 
terface, API) (vgl. Fig. 5 ) ■ 
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Die dynamisch bindbare Datei 501 wird im AdreBramn des poten- 
tiellen Angreif er-Progranims 502 aktiv. Unter Verwendung der 
dynamisch bindbaren Datei 501 warden folgende Schritte in dem 
Adrefiraum des potentiellen Angreif er-Programms 502 ausge- 
5 ftlhrt : 

. Von der dynamisch bindbaren Datei 501 warden alle Kenn- 
zeichnungen (Modulhandel) von jeder weiteren dynamisch 
bindbaren Datei ermittelt, die zu tiberwachende Schnittstel- 
len-Aufrufe enthSlt. Damit konnen alls Zugriffe auf alle zu 
10 liberwachenden dynamisch bindbaren Dateien ermoglicht wer- 
den. 

Als fur Angriffe relevant werden alle schnittstellen- 
Aufrufe zum direkten Oder indirekten Starten, Beenden und 
Kontrollieren von Prozessen, z.B. schreibende Zugriffe auf 

15 den Prozefispeicher, Anderungen der Zugrif f srechts/ prinzi- 
piell alle Schnittstellen-Bef ehle, die mit fremden Prozefl- 
markierungen (ProzeBhandles) arbeiten, alle Befehle zum 
Realisieren von Message Hooks (eine programmierbare Filter- 
funktion fur Nachrichten zur GUI-Interkommunikation (Graph- 

20 ic User Interface) und zur Prozefiinterkommunikation) , und 
fur Debugging-Zwecke betrachtet. 

Unter dem Ausdruck „indirektes Starten^' werden auch Mecha- 
nismen eines Compilers zur Selbstmodif ikation von Pro- 
grammcode, OLE (Object Link Embedding) und RPC-Mechanismen 

25 (Remote Procedure Call) sowie Zugriffe aus anderen Be- 

triebssystem-Programmier-Schnittstellen verstanden. Ferner 
umfafit dieser Ausdruck auch die Kontrolle der Mechanismen, 
die fur den Ablauf dynamisch bindbarer Dateien 501 (Acti- 
veX-Befehle usw.) eingesetzt werden. 

30 • Ferner werden der dynamischen bindbaren Datei 501 Schrei- 
brechte fur den Adreliraum zugeordnet. 
• Anstelle des Original-Schnittstellen-Auf ruf s wird ein 
Sprung-Befehl gespeichert und die ersetzten Befehle des 
Original-Codes 503 werden gesichert. 



35 



Versucht nun ein Prozefi 504 Uber einen Schnittstellenauf ruf 
APIFktCallO auf das zu schutzende Programm 502 zuzugreifen 
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bzw. ein bisher inaktives Progranon zu starten, so wird durch 
die dynamisch bindbare Datei 501 das Schutzprogramn 506 auf- 
gerufen. Als Ubergabeparameter fur das Schut zprogramti 506 
wird dem Schutzprogramm 506 angegeben, welches Prograinm 502 
durch den zugreifenden ProzeB 504 aufgerufen warden soil. 

Durch einen Vergleich mit in der Prozefl-Datei des jeweiligen 
Programms 502 angegebenen zugelassenen Schnittstellen- 
Aufrufen wird dann geinafi deia oben beschriebenen Verfahren 
entschieden, ob der Schnittstellen-Auf ruf 505 zugelassen wird 
Oder nicht. 



Der zugreifende ProzeB 504 wird dann entweder ausgefiihrt oder 
„abgeblockt"^ Wird in dem Schutzprogramm 50 6 entschieden, daB 
15 der zugreifende ProzeB 504 ausgefuhrt werden soil, so wird 
der Original-Code des Schnittstellen-Auf ruf s 503 ausgefUhrt 
und nach dessen AusfUhrung wird ein Return-Code 507 an den 
zugreifenden ProzeJi 504 zuruckgegeben . Sonst wird eine Feh- 
lermeldung 508 an den zugreifenden ProzeB 504 gemeldet. 



Das oben beschriebene Verfahren verwendet den grundsatzlichen 
Mechanismus der sogenannten DLL-Inj ektion, die aus [5] be- 
kannt ist. 



25 2. Mdglichkeit: 

Fig. 6 zeigt das in Fig .5 beschriebene Prinzip in verfeinerter 
Realisierung. Diese Variante eignet sich. insbesondere fiir den 
Fall, daB sich f alschlicherweise ein als „sicher'' deklarier- 
30 ter ProzeB in dem AdreBraum befindet, der die dynamisch bind- 
bare Datei 601 selbst angreift. 

Durch das im folgenden beschriebene Verfahren wird gewShrlei- 
stet, daB ein Zugriff auf vorgegebene Daten nur aus der dyna- 
35 misch bindbaren Datei 601 selbst heraus moglich ist und Zu- 
griffe aus einem anderen Bef ehlsf olgesegment, insbesondere 
einer angreifenden Applikation, verhindert wird. 
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Das im folgenden dargestellte Verfahren wird vorzugsweise mit 
statischer Modifikation des oben beschriebenen Verfahrens 
realisiert. 

Fiir das im' weiteren beschriebene Verfahren warden folgende 
Annahmen getroffen: 

. Zu schiitzende Daten werden in einem geschiitzten Bereich 602 
gespeichert. die bei der Initialisierung der dynamisch 
bindbaren Datei 601 angelegt und beschrieben wird und an- 
schlieJiend ein Schutzattribut erhalt, so daB auf den ge- 
schiitzten Bereich 602 nur durch die dynamisch bindbare Da- 
tei 601 selbst zugegriffen werden kann. 

. Alle Bereiche, die ausfUhrbaren Code enthalten, erhalten 
das schutzattribut „page_execute" , wodurch verhindert wird, 
daJi der entsprechende ausfilhrbare Code nicht verandert wer- 
den kann, ohne dafi das Schutzattribut zuvor geandert wire 

. jede Schnittstellen-Funktion 603 wird auf folgende Weise 
gesichert: Eine Einsprungsadresse fiir die Schnittstellen- 
Funktion 603 wird durch eine modif izierte Einsprungsadres- 
se, die zu einer rtiodif izierten Schnittstellen-Funktion 604 
fiihrt, ersetzt. 

in der modif izierten Schnittstellen-Funktion wird verzweigt 
zu einem Schnittstellen-ProzeJi 605, der in der dynamisch 
bindbaren Datei 601 enthalten ist. Dieser Schnittstellen- 
Prozefi verzweigt zu dem Schutzprogramm 606, durch das fur 
einen aufrufenden Prozefi 60.7, der mit einem Schnittstellen- 
aufruf 608 versucht, auf die Schnittstellenf unktion 603 zu- 
zugreifen, tiberprUft, ob dieser Aufruf fur den zugreifenden 
Prozefi 607 zugelassen ist. 

1st dies der Fall, so wird die Schnittstellenfunktion 603 
ausgefuhrt und es wird nach Durchfuhrung der Schnittstel- 
lenfunktion 603 wiederum in die modifizierte Schnittstel- 
lenfunktion 604 verzweigt, was durch einen Pfeil 609 symbo- 
lisiert ist. Nach AusfUhrung weiterer vorgebbarer Befehle 
wird in eine Schnittstelien-Ruckkehr-Funktion 610 ver- 
zweigt, was durch einen Pfeil 611 angedeutet ist.. Dies er- 
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folgt durch einen Sprungbef ehl . In der 

Ruc.kehr-Funktion 610 wird noch einmal uberpruft (Schr.tt 
612), Ob der Schnittstellen-Auf ruf 608 ^/^^^^^^^ ^^^^ 
wenn dies nicht der Fall ist, wird eine Fehlermeldung 613 
an den Froze. 607 gesendet. Dies erfolgt ebenso, wenn in 
der Schnittstellen-Funktion 605 unter Verwendung des oben 
beschriebenen Verfahrens ernittelt wurde, da. der Schnxtt- 
stellen-Aufruf nicht zugelassen 1st. 

Wird jedoch auch in dem Cberprtifungsschritt 612 m aer 
Schnittstellen-RUckkehr-FunKtion 610 ermittelt, da. der 
Schnittstellen-Aufruf zugelassen ist, so wird das Ergebnis 
der aufgerufenen Schnittstellen-Funktion an den zugreifen- 
den Froze. 607 gesendet (Schritt 614) . 

3. Moglichkeit: 

Die Erfindung kann auch in dem Betriebssystemkern integriert 
werden. Durch diese Aus fuhrungs form wird erreicht, da. em 
Kontrollmechanismus integrierbar ist, dessen Umgehung unter 
Benutzerzugriffsrechten nicht mehr moglich ist, sondern nur 

unl 
wire 



iter den Zugrif f srechten des Systemadiuinistrators - Damit 
:d das erreichbare Sicherheitsniveau erheblich gesteigert 



Ein hierzu verwendbarer Integrationsmechanismus ist in [4] 
beschrieben. Bei diesem Mechanismus werden Schnittstellen- 
Aufrufe beim Obertritt in den Modus des Betriebssystemkerns 
(Kernel-Modus) im Betriebssystemkern selbst "abgef angen" . Der 
Verwaltungsmechanismus fur die Unterbrechnungs-Routine ist in 
diesem Fall im Betriebssystemkern realisiert und ist daher 
gegen Zugriffe von Prozessen, die im Benutzermodus aktiv 
sind, geschutzt. Eine Ubersicht verschiedener solcher mogli- 
chen alternativen Implementierungsmoglichkeiten ist in [4] zu 
f inden. 

Fig. 7 zeigt in einer Obersicht zwei oben beschriebene Mog- 
lichkeiten zur Realisierung. 
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Ein Anwendungsprogramia 701 (Applikation) verwendet zuzn Pro- 
grainmablauf Funktionen des Betriebssystems . 

Die Funktionen des Betriebssystems sind gruppiert in Funktio- 
5 nen 7 02 des Betriebssystems in einem Benutzermodus {User 

Mode) und in Funktionen 703 des Kernel-Modus. Die Funktionen 
sind symbolisch ]eweils als Blocke dargestellt. 

Durch dynamisch bindbare Dateien (*.dll) ist es moglich, das 
10 Verfahren im Rahmen des Benutzermodus zu integrieren, was 

durch einen ersten Block 704 unter verwendung einer dynamisch 
bindbaren Datei "NTDLL.DLL" 705 des in [1] beschriebenen Be- 
triebssystems erfolgen kann. 

15 Die weitere IntegrationsmSglichkeit des Verfahrens in den Be- 
triebssystemkern ist durch einen zweiten Block 706 angedeu- 
tet, wobei bei dieser integrationsvariante der Mechanismus 
beim Ubergang des Benutzermodus in den Kernel-Modus inte- 
griert wird. 

20 ■ ' 

im weiteren werden einige Alternativen zu den oben erlauter- 

ten Ausfiihrungsbeispielen dargestellt: 

Der Schutz des Schutzprogramms- kann dadurch erh5ht werden, 
25 daB die Startroutine im Betriebssystemkern integriert ist, 
z.E. als sogenannter Kernel-Modus-Prozei^ oder auch System 
Service . 

Die dynamisch bindbare Datei kann auch sowohl statisch als 
30 auch dynamisch, d.h. ledigiich wahrend der Laufzeit des zu 
schutzenden Programms 502 oder wShrend der gesamten Laufzeit 
des Betriebssystems vorgesehen sein. 

Auch kdnnen alternativ Sof tware-Unterbrechungs-Routinen als 
35 Alternative zu der dynamisch bindbaren Datei verwendet wer- 
den. 
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Die Erfindung kann sowohl durch Software als auch durch Hard- 
ware Oder zum Tail durch Software und zum Teil durch Hardware 
realisiert werden, 

5 Ferner kann, wie in Fi^ dargestellt, bei negativer Integri- 
tatsprUfung (Schritt 408) in einem weiteren Oberprufungs- 
schritt (Schritt 414) iiberprUft werden, ob ein Nachladen des 
originalen Schutzprogramms und/oder eines zu schutzenden Pro- 
graims von einer vertrauenswurdigen Instanz moglich ist, oder 
10 Ob eine Wiederherstellung des Schutzprogramms und/oder des zu 
schutzenden Programius moglich ist, derart, dal5 dessen/deren 
Integritat gewahrleistet ist. 

1st dies nicht moglich, so wird das Verfahren abgebrochen 
15 (Schritt 404) . 

Ist dies jedoch moglich, so wird die Integritat des neu gela- 
denen bzw. wiederhergestellten Schutzprogramms weiter dyna- 
misch tiberpruft (Schritt 403) . 



20 



In einer weiteren Variante ist es vorgesehen, dafl die Rechner 
lait einem Server, in Fig.l der erste Rechner, verbunden sind. 

In jedem Rechner wird das oben beschriebene Verfahren zum 
25 Schutz eines Prograinms und/oder einer Datei durchgefUhrt . 

Fur den Fall, daii der zugreifende Prozefi in der Prozefi-Datei 
nicht angegeben ist, wird ein Alarmsignal generiert und an 
den Server gesendet. In dem Server wird abh^ngig von minde- 
30 stens einem empfangenen Alarmsignal eine vorgegebene Aktion 
ausgelost wird, beispielsweise ein zentral gesteuerter Ab- 
bruch eines Prozesses. 
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Patentansprtiche 



1 verfahrsn z™ Schutz m.hrerer Prc,ranu«. und/od.r mehrerer 
pateien vor ei.em unbefugten Zugrlff durch einen Prozefi, 

- bei dem jedem zu schutzenden Prograi™ und/cder :eder zu 
schUtzenden Datel Jewells eln Adrefiramn zugeordnet ist, 

- bei dem jedem zu schutzender. Prograim und/oder :,eder zu 
schUtzenden Datei Jewells eine P.czefi-Datei -^ecrdnet .st 

- bei dem in eine. ProzeB-Datai gespeichert .st, welcher Pro 
zeB Oder welche Prozesse in dem jeweiligen Rdrearaum ablaufen 
darf Oder durfen, 

- bei dem wahrend des T^laufs eines zu schutzenden Prograxnius 
und/oder einer zu schutzenden Datei fur einen Prozeli, der auf 
den Adrelirauia des zu schutzenden Prograrms und/oder der zu 
schtitzenden Datei zugreifen will uberpruft wird, ob der zu- 
greifende Prozefi in der entsprechenden Prozel^-Datei angegeben 

-'bei dem fur den Fall, dali der zugreifende Prozeli in der 
Prozefi-Datei angegeben ist, der zugreifende Prozefi gestartet 
wird, und 

- sonst der zugreifende Prozeli nicht gestartet wird. 

2 Verfahren zum Schutz mehrerer Programme und/oder mehrerer 
Dateien vor einem unbefugten Zugriff durch einen Prozefi, 

- bei dem jedem zu schutzenden Programm und/oder jeder zu 
schutzenden Datei jeweils ein AdreJiraum zugeordnet ist, 

- bei dem jedem zu schUtzenden Programm und/oder jeder zu 
schutzenden Datei jeweils eine Prozeli-Datei zugeordnet ist, 

- bei dem in einer ProzeJi-Datei gespeichert ist, welcher Pro- 
zeli Oder welche Prozesse in dem jeweiligen Adrefiraum ablaufen 
darf Oder dUrfen, 

- bei dem wahrend des Ablaufs eines zu schutzenden Programms 
und/oder einer zu schutzenden Datei fiir einen ProzeJJ, der auf 
den Adrelirauiti des zu schutzenden Programms und/oder einer zu 
schutzenden Datei zugreifen will uberprUft wird, ob der zu- 
greifende Prozefi in der entsprechenden Prozefi-Datei angegeben 



ist/ 
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- bei dem fur den Fall, dafi der zugreifende Prozefi in der 
ProzeB-Datei angegeben ist, der zugreifende ProzeB weiterge- 
fUhrt wird, und 

- sonst der zugreifende Prozeli beendet wird. 

3. Verfahren nach Anspruch 1 oder 2, 

- bei dem fur zuinindest einen Teil der in einer ProzeA-Datei 
angegebenen Prozesse ein den Prozefi eindeutig kennzeichnender 
kryptographischer Wert gebildet wird, 

10 - bei dem in der Prozefi-Datei jeweils der kryptographische 
Wert eines Prozesses enthalten ist, 

- bei dem fiir den zugreifenden Prozeli dessen kryptographi- 
scher Wert gebildet wird, und 

- bei dem bei der Oberprufung die kryptographischen Werte der 
15 Prozesse miteinander verglichen werden. 

4. Verfahren nach einem der Anspriiche 1 bis 3, 

bei dem in einem Auf rufmechanismus fur eine Funktion eines 
Betriebssystemkerns, mit dem die Programme ausgefUhrt werden, 
20 ein Aufruf des zugreifenden Prozesses einer Uberprufungs funk- 
tion zugeleitet wird, in der die UberprQfung erfolgt. 

5. Verfahren nach Anspruch 4, 

bei dem die Uberprtif ungsfunktion als dynamisch bindbare Datei 
2-5 in den Adrefiraum eingebunden wird. 

6. Verfahren nach einem der AnsprUche 1 bis 3, 

- bei dem ein Aufruf des zugreifenden Prozesses einer Uber- 
prufungsfunktion zugeleitet wird, in der die Oberprufung er- 

30 folgt, und 

- bei dem die Oberprufungsfunktion in einen Betriebssystem- 
kern eines Betriebssystems, mit dem die Programme ausgefiihrt 
werden, integriert ist. 



35 



7. Verfahren nach einem der Ansprtiche 1 bis 6, 
bei dem das Betriebssystem Windows NT ist. 
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8 Verfahren nach einem der Anspriiche 1 bis 7, 
bei dem in einem vorgebbaren Zeitabstand fur jeden aktiven 
Prozefi, der zusaimen mit einem zu schUtzenden Programm 
und/oder einer zu schutzenden Datei ablSuft, uberpriift wird, 
Ob der aktive Prozefi in der Prozefi-Datei, die dem zu schut- 
zenden Programm und/oder der zu schutzenden Datei zugeordnet 
ist, enthalten ist und der ProzeJi beendet wird, falls dies 
nicht der Fall ist. 

9. Verfahren nach einem der Anspriiche 1 bis 8, 

bei dem abhSngig von einem vorgebbaren Ereignis fur jeden ak- 
tiven Prozefi, der zusammen mit einem zu schutzenden Programm 
und/oder einer zu schutzenden Datei abl^uft, ilberpriift wird, 
Ob der aktive ProzeJi in der ProzeJi-Datei , die dem zu schut- 
zenden Programm zugeordnet ist, enthalten ist und der Prozefl 
beendet wird, falls dies nicht der Fall ist. 

10. Verfahren nach einem der Anspruche 1 bis 9, 

bei dem ein Schutzprogramm, welches derart eingerichtet ist, 
dafi das Verfahren ausfUhrbar ist, verschlusselt gespeichert 
ist und zu Beginn des Verfahrens entschlusselt wird 

11. Verfahren nach einem der Ansprtiche 1 bis 10, 

bei dem die zu schutzenden Programme und/oder die zu schut- 
zenden Dateien, verschlusselt gespeichert sind und zu Beginn 
des Verfahrens entschlUsselt werden. 

12. Verfahren nach Anspruch 10, 

bei dem nach der Entschlusselung des Schutzprogramms dessen 
Integritat iiberpraft wird und das Verfahren nur ausgeftihrt 
wird, wenn die Integritat des Schutzprogramms gewahrleistet 
ist . 

13. Verfahren nach Anspruch 12, 

bei dem nach der Integritatsprufung des Schutzprogramms die 
Integritat aller in den Prozefi-Dateien enthaltenen Prozesse 
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uberpruft wird und das Verfahren nur ausgefahrt wird, wenn 
die integritat des Schutzprograirms gewahrleistet i-st. 

14 Verfahren nach Anspruch 13, 

bei dem nach der integritatsprQf ung der Prozesse die Integrx- 
tat des zu schUtzenden Programms und/oder der zu schUtzendan 
Datei liberpriift wird und das Verfahren nur ausgefUhrt w^rd, 
wenn die Integritat des S chut zprogr aims gewahrleistet ist. 

15 Verfahren nach Anspruch 13 oder 14, 

bei dem mindestens eine der IntegritStspruf ung unter Verwen- 
dung eines kryptographischen Verfahrens erfolgt. 

16 Verfahren nach einem der Anspruche 3 bis 15, 

bei dem der kryptographische Wert durch Anwendung einer Hash- 
Funktion gebildet wird 



17. Anordnung zum Schutz mehrerer Programme vor einem unbe- 
fugten Zugriff durch einen Prozefi, 
20 mit einem Prozessor, der derart eingerichtet ist, daJb folgen- 
de Schritte durchfuhrbar sind: 

- jedem zu schvltzenden Prograim und/oder jeder zu schOtzenden 
Datei ist jeweils ein Adrefiraum zugeordnet, 

- jedem zu schUtzenden Programm und/oder jeder zu schtitzenden 
25 Datei ist jeweils eine Prozeli-Datei zugeordnet, 

- in einer Prozefi-Datei ist gespeichert, welcher Prozefl oder 
welche Prozesse in dem jeweiligen Adrefiraum ablaufen darf 
Oder dtirfen, 

- wahrend des Ablaufs eines zu schutzenden Programms und/oder 
30 einer zu schutzenden Datei wird fUr einen Prozeli, der auf den 

Adrefiraum des zu schutzenden Programms und/oder der zu schtit- 
zenden Datei zugreifen will Uberpruft, ob der zugreifende 
Prozefi in der entsprechenden Prozefi-Datei angegeben ist, 

- fur den Fall, dafl der zugreifende Prozefi in der Prozefi- 
35 Datei angegeben ist, wird der zugreifende Prozefi gestartet, 

und 

- sonst wird der zugreifende Prozefi nicht gestartet. 
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18. Anordnung zum Schutz mehrerer PrograKune vor einem unbe- 
fugten Zugriff durch einen ProzeE/ 

mit einem Prozessor, der derart eingerichtet ist, dafi folgen- 
5 de Schritte durchfiihrbar sind: 

- jedein zu schutzenden Programm und/oder jeder zu schtitzenden 
Datei ist jeweils ein Adrefiraiim zugeordnet, 

- jedem zu schutzenden Programm und/oder jeder zu schutzenden 
Datei ist jeweils eine Prozeli-Datei zugeordnet, 

10 - in einer Pro.zefi-Datei ist gespeichert, welcher Prozefl oder 
welche Prozesse in dem jeweiligen AdreBraum ablaufen darf 
Oder dUrfen, 

- wahrend des Ablaufs eines zu schtitzenden Programms und/oder 
einer zu schutzenden Datei wird fUr einen ProzeB, der auf den 

15 Adrefiraum des zu schutzenden Prograrams und/oder der zu schut- 
zenden Datei zugreifen will uberprUft, ob der zugreifende 
Prozeli in der entsprechenden ProzeB-Datei angegeben ist, 

- fur den Fall, daJi der zugreifende Prozeii in der ProzeiS- 
Datei angegeben ist, wird der zugreifende ProzeB weiterge- 

2 0 ftihrt, und 

- sonst wird der zugreifende ProzeB beendet. 

19. Anordnung nach Anspruch 17 oder 18, 

bei der der Prozsssor derart eingerichtet ist, daJ5 
25 - fiir zumindest einen Teil der in einer ProzeB-Datei angege- 
benen Prozesse ein den Prozefi eindeutig kennzeichnender kryp- 
tographischer Wert gebildet wird, 

- in der ProzeJJ-Datei jeweils der kryptographische Wert eines 
Prozesses enthalten ist, 

30 - fiir den zugreifenden Prozefi dessen kryptographischer Wert 
gebildet wird, und 

- bei der OberprUfung die kryptographischen Werte der Prozes- 
se miteinander verglichen werden. 



35 20. Anordnung nach einem der Anspruche 17 bis 19, 

bei der der Prozessor derart eingerichtet ist, dafi in einem 
Auf rufmechanismus fiir eine Funktion eines Betriebssystem- 
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kerns, mit dem die Programme ausgefuhrt werden, ein Aufruf 
des zugreifenden Prozesses einer UberprUfungsfunktion zuge- 
leitet wird, in der die Oberprtifung erfolgt. 

5 21. Anordnung nach einem der Anspriiche 17 bis 20, 

bei der der Prozessor derart eingerichtet ist, dali das Be- 
triebssystem Windows NT ist. 

22. Satz mehrerer Anordnungen und eine mit jeder Anprdnung 
10 des Satzes mehrerer Anordnungen verbundenen Server-Anordnung 
zum Schutz mehrerer Programme vor einem unbefugten Zugriff 
durch einen Prozeli, 

wobei jede Anordnung einen Prozessor aufweist, der derart 
eingerichtet ist, daJi folgende Schritte durchfiahrbar sind: 
15 - jedem zu schutzenden Programm und/oder jeder zu schtitzenden 
Datei ist jeweils ein Adreliraum zugeordnet, 

- jedem zu schtitzenden Programm und/oder jeder zu schutzenden 
Datei ist jeweils eine ProzeJS-Datei zugeordnet, 

- in einer Prozefl-Datei ist gespeichert, welcher Prozefi oder 
20 welche Prozesse in dem jeweiligen AdreBraum ablaufen darf 

Oder diirfen, 

- w^hrend des Ablaufs eines zu schutzenden Programms und/oder 
einer zu schutzenden Datei wird fur einen Prozefi, der auf den 
AdreiJraum des zu schutzenden Programms und/oder der zu schiit- 

25 zenden Datei zugreifen will uberpruft, ob der zugreifende 
Prozefl in der entsprechenden ProzeiJ-Datei angegeben ist, 

- far den Fall, daJi der zugreifende Prozeii in der ProzeB- 
Datei angegeben ist, wird der zugreifende ProzeJi gestartet 
Oder weitergefuhrt , und 

30 - sonst wird ein Alarmsignal generiert und an die Server- 
Anordnung gesendet, 

und wobei die Server-Anordnung einen Prozessor aufweist, der 
derart eingerichtet ist, daJi abhangig von mindestens einem 
empfangenen Alarmsignal eine vorgegebene Aktion ausgel5st 
35 wird. 
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verfahren, Anordnung sowie ein Satz mehrerer Aiiordnungen zum 
Schutz mehrerer Prograrrme und/oder mehrerer Dateien vor einem 
5 unbefugten Zugriff durch einen ProzeB 

Es wird jedein zu schUtzenden Prograimu jeweils ein Bereich und 
eine Prozefl-Datei zugeordnet. In einer Prozeli-Datei ist ge- 
speichert, welcher Prozefi oder welche Prozesse in dem jewei- 

10 ligen Bereich ablaufen darf oder diirfen. Wahrend des Ablaufs 
des Programms wird fur einen ProzeJi, der auf das Programm zu- 
greifen will iiberpruft, ob der zugreifende Prozeii in der ent- 
sprechenden Prozefidatei angegeben ist. Der zugreifende Prozefi 
wird nur ausgefUhrt, wenn er in der Prozefidatei angegeben 

15 ist. 
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